By Leave a Comment on Infections courantes par des malwares WordPress

En utilisant egrep, nous sommes en mesure de rechercher plusieurs mots en même temps si nécessaire, ce qui vous fait gagner du temps dans ce cas.

Ou essayez quelque chose comme ceci:

# grep -r "http://canadapharmacy.com" .

Cela ne fonctionne que si l’infection n’est pas codée, cryptée ou concaténée.

Une autre méthode utile est d’accéder à votre site Web via différents agents utilisateurs et référents. Voici un exemple de ce à quoi ressemblait un site Web en utilisant un référent Microsoft IE 6:

Tester Bots vs Browsers pour vérifier votre site Web à travers un certain nombre de navigateurs différents.

Les utilisateurs de terminaux peuvent également utiliser CURL:

# curl -A "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)" http://somesite.com

Comment puis-je l’empêcher?

Prévenir un piratage pharmaceutique peut être délicat. Sucuri a constaté que le piratage exploite régulièrement des logiciels vulnérables périmés. Cependant, votre installation WordPress périmée n’est pas nécessairement le problème. Même si vous êtes à jour, une autre installation obsolète sur le même serveur pourrait être vulnérable à l’infection. Si la véritable charge utile réside ailleurs sur votre serveur, et non dans le répertoire de votre site Web, alors l’attraper peut être exceptionnellement difficile.

Voici un exemple de ce que vous pourriez rechercher si vous ne pouvez pas trouver l’infection dans votre propre installation:

Pour prévenir un piratage pharmaceutique, vous devriez faire deux choses:

  1. Maintenez votre logiciel à jour,
  2. Steer clear of soup-kitchen servers.

Redirections malveillantes

Une redirection malveillante envoie un utilisateur vers un site web malveillant. En 2010, 42 926 nouveaux domaines malveillants ont été détectés. En 2011, ce nombre est passé à 55 294. Et cela ne comprend que les domaines primaires, pas tous leurs sous-domaines.

Lorsqu’un visiteur est redirigé vers un site web autre que le principal, ce site peut ou non contenir une charge utile malveillante. Supposons que vous ayez un site Web à l’adresse myhappysite.com ; lorsque quelqu’un le visite, le site Web pourrait amener le visiteur à meansite.com/stats.php, où la charge utile malveillante se trouve dans le fichier stats.php de ce site Web. Ou encore, il pourrait s’agir d’un site Web inoffensif ne contenant que des publicités et aucune charge utile malveillante.

Comment suis-je attaqué ?

Comme pour de nombreuses attaques de logiciels malveillants, tout se résume à l’accès. La redirection malveillante pourrait être générée par une porte dérobée. Le pirate rechercherait une vulnérabilité, comme TimThumb ou d’anciennes versions de WordPress et, lorsqu’il la trouve, téléchargerait une charge utile qui fonctionne comme une porte dérobée.

À quoi cela ressemble-t-il ?

Détecter une redirection n’est pas aussi complexe que de détecter certaines des autres infections. Elle se trouve souvent dans votre fichier .htaccess et ressemble à quelque chose comme ceci:

Ou comme ceci:

Il peut y avoir des cas où une redirection est codée et réside dans l’un de vos fichiers PHP. Si c’est le cas, elle se trouve généralement dans votre fichier header.php, footer.php ou index.php ; elle est également connue pour résider dans le fichier racine index.php et dans d’autres fichiers de template de base. Il n’est pas toujours codé, mais s’il l’est, il ressemblera à quelque chose comme ceci:

Comment puis-je savoir si je suis infecté?

Il existe quelques façons de vérifier les infections. Voici quelques suggestions :

  • Utilisez un scanner gratuit, tel que SiteCheck. Ils manquent très rarement les redirections malveillantes.
  • Tester en utilisant Bots vs Browser.
  • Écouter vos utilisateurs. Vous pouvez ne pas détecter la redirection, mais parfois un utilisateur vous en avertira.

Si un utilisateur détecte un problème, posez-lui des questions pertinentes pour l’aider à diagnostiquer le problème :

  • Quel système d’exploitation utilise-t-il ?
  • Quel(s) navigateur(s) utilisent-ils, et quelle(s) version(s) ?

Plus vous obtiendrez d’informations de leur part, mieux vous pourrez reproduire le problème et trouver une solution.

Comment est-il nettoyé ?

Les redirections malveillantes sont l’une des infections les plus faciles à nettoyer. Voici un bon point de départ :

  1. Ouvrez votre fichier .htaccess.
  2. Copiez toutes les règles de réécriture que vous avez ajoutées vous-même
  3. Identifiez tout code malveillant, comme l’exemple ci-dessus, et supprimez-le du fichier. Faites défiler jusqu’au bas de .htaccess pour vous assurer qu’il n’y a pas de directives d’erreur pointant vers la même infection.

Veuillez également rechercher tous les fichiers .htaccess sur le serveur. Voici un moyen rapide de voir combien il en existe sur votre serveur:

# find -name .htaccess -type f | wc -l

Et ceci vous dira où se trouvent exactement ces fichiers:

# find -name .htaccess -type f | sort

L’infection n’est pas toujours limitée à cet endroit, cependant. Selon l’infection, vous pouvez également trouver la redirection encodée et intégrée dans un fichier tel que index.php ou header.php.

De façon alarmante, ces infections peuvent se répliquer dans tous vos fichiers .htaccess. La porte dérobée qui en est responsable peut également être utilisée pour créer plusieurs fichiers .htaccess dans tous vos répertoires, tous avec la même infection. L’élimination de l’infection peut ressembler à un parcours du combattant, et parfois le nettoyage de tous les fichiers que vous pouvez trouver ne suffit pas. Il arrive même qu’un fichier soit créé en dehors du répertoire Web. La leçon est de toujours regarder à l’extérieur de votre répertoire Web ainsi qu’à l’intérieur.

Comment puis-je l’empêcher ?

Une méthode rapide et facile est de changer la propriété du fichier, ou de réduire les permissions du fichier afin que seul le propriétaire ait la permission de le modifier. Cependant, si votre compte root est compromis, cela ne vous servira pas à grand-chose.

Le fichier le plus important dont il faut prendre soin est .htaccess. Consultez le tutoriel  » Protéger votre site WordPress avec .htaccess  » pour obtenir des conseils à ce sujet.

Conclusion

Voilà : quatre attaques prévalentes qui causent des ravages à travers de nombreuses installations WordPress aujourd’hui. Vous ne vous sentirez peut-être pas mieux si vous vous faites pirater, mais avec un peu de connaissance, vous serez plus confiant que le piratage peut être nettoyé et que votre site Web peut vous être rendu. Le plus important, si vous retenez une chose de tout cela : gardez toujours WordPress à jour.

Les dix meilleurs conseils de sécurité de Tony

  1. Débarrassez-vous des comptes génériques, et sachez qui accède à votre environnement.
  2. Durcissez vos répertoires afin que les attaquants ne puissent pas les utiliser contre vous. Tuez l’exécution de PHP.
  3. Gardez une sauvegarde ; vous ne savez jamais quand vous en aurez besoin.
  4. Connectez-vous de manière sécurisée à votre serveur. SFTP et SSH sont préférables.
  5. Évitez les serveurs de type soupe populaire. Segmentez entre le développement, le staging et la production.
  6. Restez à jour avec votre logiciel – tout le logiciel.
  7. Mettez fin aux identifiants inutiles, y compris pour FTP, wp-admin et SSH.
  8. Vous n’avez pas besoin d’écrire des articles en tant qu’administrateur, et tout le monde n’a pas besoin d’être un administrateur.
  9. Si vous ne savez pas ce que vous faites, tirez parti d’un fournisseur d’hébergement WordPress géré.
  10. Filtrage IP + Authentification à deux facteurs + Informations d’identification solides = Accès sécurisé

Les plugins de sécurité les plus utiles de Tony

  • Sucuri Sitecheck Malware Scanner Ce plugin de Tony et de l’équipe Sucuri permet une analyse complète des logiciels malveillants et des listes noires dans votre tableau de bord WordPress, et il inclut un puissant pare-feu d’application Web (WAF).
  • Limit Login Attempts Limite le nombre de tentatives de connexion possibles à la fois par la connexion normale ainsi que par l’utilisation de cookies d’authentification.
  • Authentification à deux facteurs Ce plugin active l’authentification à deux facteurs de Duo, en utilisant un service tel qu’un rappel téléphonique ou un message SMS.
  • Theme-Check Testez votre thème pour vous assurer qu’il est conforme aux normes de révision des thèmes.
  • Plugin-Check Fait ce que Theme-Check fait mais pour les plugins.

Outils de sécurité

  • Sucuri SiteCheck
  • Scanner de démasquage des parasites

Ressources de sécurité

  • Sucuri. Blog
  • Sécurité des sites web chez Perishable Press
  • Unmask Parasites Blog
  • Badware Busters
  • WPsecure
  • Verrouillage de WordPress, Michael Pick

Articles utiles sur la sécurité

  • « 10 réglages utiles de la sécurité de WordPress », Jean-Baptiste Jung
  • « 10 étapes pour sécuriser votre installation WordPress », Fouad Matin
  • « Avertissements de la liste noire de Google : Something’s Not Right Here, » Tony Perez
  • « Hardening WordPress, » WordPress Codex
  • « How to Stop the Hacker and Ensure Your Site Is Locked, » Tony Perez
  • « Website Malware Removal : WordPress Tips and Tricks, » Tony Perez
(al)

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.